Выбрать дату в календареВыбрать дату в календаре

Перехват админ_прав. Как бороться?
попробуйте сделать образ автозапуска из безопасного режима системы.
если не получится,
сделайте из под winpe&uVS
https://forum.esetnod32.ru/forum27/topic2102/
[ Закрыто] Подозрительное поведение операционной системы
как вариант, в таких случаях можно попытаться восстановить работу системы из под загрузочного диска.
[ Закрыто] Подозрительное поведение операционной системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CAT.WARGAMING.NET
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDE­XBROWSER\APPLICATION\BROWSER.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U

deltmp
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\DISCORD\0.0.306\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS
delref %SystemDrive%\PROGRAM FILES\BYTEFENCE\BYTEFENCE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNC­HER.EXE
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {CF822AB4-6DB5-4FDA-BC28-E61DF36D2583}\[CLSID]
delref {67EB453C-1BE1-48EC-AAF3-23B10277FCC1}\[CLSID]
delref {EBD0B8F4-A9A0-41B7-9695-030CD264D9C8}\[CLSID]
delref XCSHINFO\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\TEMP\5AE64D5.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_51\BIN\WSDETECT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
+
[B]вопрос: DrWeb на проблемной машине в рабочем состоянии?[/B]
т.е. нормально управляется, обновляет базы, выполняет сканирование?
файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
если сохранилась копия данного файла (GHOST.exe), возможно в карантинах сканеров, вышлите в архиве с паролем infected в почту safety@chklst.ru
шифрование было
[B]2020-03-23[/B] 18:43 - 2020-03-23 18:43 - 000000410 ___SH C:\Program Files\desktop.ini.id-D8235182.[coronavirus@foxmail.com].C-VIR
к сожалению,
расшифровка по Crysis возможна только для вариантов 2-3летней давности,
даже свежий вариант .ONION без расшифровки, хотя старая версия .onion 3летней давности успешно расшифровывается.

судя по логам, система уже очищена от файлов шифратора, но если не принять мер безопасности, то может быть повторный взлом доступа к серверу, и новое шифрование.
файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
шифрование именно на этом сервере было? добавьте еще логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

судя по маркеру в зашифрованном файле
00000000020000000CFE7A41000000000000000000000000200000000000­0000
действительно Crysis. вариант C-VIR, один из последних вариантов:
[QUOTE]'.C-VIR' - 'coronavirus@foxmail.com' - https://virustotal.com/gui/file/e71a13f032bd6703a25524d4b036bd7c2577c1a764de4cfd0f97ab17ecc3fed3/
#CrySiS #Dharma #ransomware[/QUOTE]
------------
расшифровки по данному варианту, а так же по всем указанным выше вариантам нет.
восстановить документы возможно только из бэкапов.
рекомендуем принять меры безопасности по защите вашего сервера, чтобы избежать повторного шифрования.
файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]Александр Бидюк написал:
Добрый день
У меня такая же проблема. Можете помочь с расшифровкой?[/QUOTE]
добавьте образ автозапуска,
возможно в системе еще остались файлы шифратора.
+
добавьте несколько зашифрованных файлов небольшого размера, лучше в архив,
и прикрепите к вашему сообщению
зашифровано с расширением *.phoenix; .phobos; Caley, Phobos
скорее  всего, ваши файлы зашифрованы шифратором phobos

[QUOTE]Расширение: .Caley
Составное расширение: .id[XXXXXXXX-2422].[jabber paybtc@sj.ms].Caley
Записка: info.hta, info.txt
Email: jabberpaybtc@sj.ms[/QUOTE]
https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html
Зашифрованы файлы в формате "353436383735364436323733324536343632"без расширения, CryptConsole3; ransom_note: README.txt
[QUOTE]Павел Фокин написал:
насколько возможно вообще с лицензией расшифровать?[/QUOTE]
лицензия дает вам право обратиться за помощью в расшифровке в антивирусную компанию,
по факту расшифровки  в данном случае точно может ответить только вирлаб
зашифровано с расширением *.phoenix; .phobos; Caley, Phobos
@Ильфат Юсупов,
добавьте несколько зашифрованных файлов и записку о выкупе в архив, и поместите в ваше сообщение на форум.
+
сделайте образ автозапуска системы, возможно файлы шифратора еще остались в системе
Зашифрованы файлы в формате "353436383735364436323733324536343632"без расширения, CryptConsole3; ransom_note: README.txt
[QUOTE]Павел Фокин написал:
так и что делать? лицензии нет[/QUOTE]
во первых, надо проверить (и очистить) вашу систему за предмет остаточного заражения
нужен образ автозапуска системы
во вторых,
без лицензии антивирусные компании вам не помогут с расшифровкой. (можете приобрести лицензию сейчас, по крайней мере, в течение года вы будете защищены от вирусных угроз, и при необходимости обратиться в техническую поддержку антивирусной компании)
в третьих, бесплатных дешифраторов по Cryptconsole3 в настоящее время нет.
в четвертых, расшифровки пока нет.

восстановить документы можно только из архивных копий, если есть такие у вас.